CodeCat 是一个开源工具,可帮助您使用静态代码分析查找/跟踪用户输入接收-网络攻防学习社区-安全圈子-FancyPig's blog

CodeCat 是一个开源工具,可帮助您使用静态代码分析查找/跟踪用户输入接收

项目地址

https://github.com/CoolerVoid/codecat

CodeCat – 帮助进行静态代码分析的工具

CodeCat 是一个开源工具,可帮助您使用静态代码分析查找/跟踪用户输入接收器和安全漏洞。 这些点遵循正则表达式规则。

C、C++、GO、Python、javascript、Swift、PHP、Ruby、ASP、Kotlin、Dart 和 Java 的当前规则。 是的,您可以创建自己的规则并管理每个资源。

视频

https://www.youtube.com/watch?v=Bmfhsr3BvyA

特征

  • 按照 Regex 自定义规则进行递归代码搜索
  • 代码视图中的语法突出显示
  • 使用数据表的搜索系统,很棒的资源!
  • 管理规则的系统
  • 上传项目的资源
  • 认证系统
  • 控制用户的资源
  • 通过 IP 地址在允许列表之后控制 HTTP 访问的资源
  • 应用程序遵循 OWASP 的安全实践

如何安装,一步一步:

33d04a234d222522

 

转到 CodeCat 目录,安装后端和前端库:

$ apt install python3-venv python3-dev libffi-dev rustc libssl-dev
$ python3 -m venv .venv
$ . .venv/bin/activate
$ pip install wheel
$ pip install -r Frontend/requirements.txt
$ pip install -r Backend/requirements.txt

设置环境变量(使用适当的保险库来保存该资源)

$ export CODECAT_APPKEY="Dyland0Gc0m1C"
$ export CODECAT_SECRET="M4rt1nMyster3c0m1C"
$ export CODECAT_CSRF_KEY="y0ur SEcr3t K3y h3RE"

运行后端和前端:

$ cd Codecat
$ cd Frontend; python3 wsgi.py &
$ cd ..
$ cd Backend; python3 wsgi.py &

下一步你需要保存你的用户登录:

$ curl -i -X POST -H "Content-Type: application/json" -d '{"email":"admin2@test.com","username":"admin","password":"rubrik123"}' https://127.0.0.1:50001/api/users -k

这些端点 /API/users 在第一次部署中只运行一次。 如果再次尝试发送请求插入用户,端点返回 404 是安全的,以阻止可能的攻击资源。

转到以下“ https://127.0.0.1:50093/front/auth/ ”。 现在你可以进入这个系统认证,使用登录“admin”,通过“rubrik123”。

关于 TLS 的注意事项: 您可以在“wsgi.py”中配置和加载您的 TLS 证书。

您可以在允许列表中插入 IP 地址以控制 HTTPd 和 Rest API 中的访问:

$ cat Frontend/application/allow_list/addr.txt
127.0.0.1
0.0.0.0
$ cat Backend/application/allow_list/addr.txt
127.0.0.1
0.0.0.0
localhost

生产

假设您需要在生产环境中运行。 所以我推荐另一种方式。

$ gunicorn -b 127.0.0.1:50001 wsgi:app

如果需要,您可以将 TLS 与 CERT 资源一起使用:

$ gunicorn --certfile=server.crt --keyfile=server.key -b 127.0.0.1:50001 wsgi:app

与前端相同的命令,但您需要使用端口 50093。

你如何使用它?

请研究文档。 https://github.com/CoolerVoid/codecat/blob/master/doc/raptor.pdf

所以有任何问题,请创建一个问题,我可以尽力帮助你。

笔记

该工具的目的是用于代码审查,使用前请注意是否有适当的授权。 我不对你的行为负责。 你可以用锤子建造房子或摧毁它,选择法律路径,不要做坏人,记住。

请登录后发表评论

    没有回复内容